マスターブートレコードに感染するrootkit攻撃が発生

PCを起動すると最初に読み込まれるHDDのマスターブートレコードを狙ったrootkit攻撃が発生している。

» 2008年01月10日 08時27分 公開
[ITmedia]

 PCのHDDのマスターブートレコード(MBR)に潜むrootkitが出回っているのが見つかった。セキュリティ各社が伝えている。

 SANS Internet Storm CenterやSymantecによると、このMBR rootkitはユーザーが特定のWebサイトを閲覧すると、Microsoft製品の脆弱性を突いてインストールされる。感染すると、コンピュータのMBRを上書きしてしまう。MBRはPCを起動すると最初に読み込まれる部分。

感染するとMBRが上書きされる(Symantecブログから)

 現時点で悪用されているのは2003年から2006年にかけてMicrosoftがパッチを公開済みの脆弱性で、rootkitはWindows XPのみで機能するようだという。

 MBR rootkitはセキュリティ企業のeEyeが2005年にコンセプト実証(PoC)コードを公開。2007年12月になって初の攻撃が発生し、4日間で約1800人に感染した後、続く第2陣攻撃では約3000人に感染した。

 この攻撃は、銀行情報を盗むトロイの木馬を配布しているのと同じ組織が仕掛けている模様だ。

 Windowsの一部バージョンでは、プログラムがユーザーモードでMBRを含むディスクセクターに直接書き込みができてしまうことが問題だとSymantecは指摘。この問題はWindows 2000とXPでは未解決で、Vistaは2006年に部分的にセキュリティがかけられたという。

 今後もMBRを狙い、もっと新しい脆弱性を悪用する亜種が出現するだろうと各社は予想。BIOSにMBRへの書き込みを防止する機能がある場合、有効にした方がいいとSymantecは助言している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ